{"id":4323,"date":"2026-04-24T12:20:03","date_gmt":"2026-04-24T10:20:03","guid":{"rendered":"https:\/\/www.ecovis.com\/datenschutzberater\/?p=4323"},"modified":"2026-05-28T12:20:31","modified_gmt":"2026-05-28T10:20:31","slug":"der-algorithmus-braucht-auch-privatsphaere-ki-und-datenschutz","status":"publish","type":"post","link":"https:\/\/www.ecovis.com\/datenschutzberater\/der-algorithmus-braucht-auch-privatsphaere-ki-und-datenschutz\/","title":{"rendered":"Der Algorithmus braucht auch Privatsph\u00e4re \u2013 KI und Datenschutz"},"content":{"rendered":"<p>K\u00fcnstliche Intelligenz hat l\u00e4ngst Einzug in unseren Arbeitsalltag gehalten. Ob Texte formulieren, Analysen erstellen oder Kundenanfragen beantworten \u2013 KI-Tools versprechen enorme Effizienzgewinne. Werden mittels der KI-Anwendung auch personenbezogene Daten verarbeitet, ist neben der KI-Verordnung auch die DSGVO zu beachten.<\/p>\n<h3>Schatten-KI in Unternehmen \u2013 ein untersch\u00e4tztes Risiko<\/h3>\n<p>Schatten-KI bezeichnet den Umstand, dass Mitarbeitende des Unternehmens ohne Wissen und Freigabe der Gesch\u00e4ftsf\u00fchrung eigenm\u00e4chtig KI-Tools f\u00fcr dienstliche Zwecke benutzen, ganz nach dem Motto: Das kann doch die KI eben mal schnell f\u00fcr mich machen. Die Gr\u00fcnde hierf\u00fcr sind meist praktischer Natur und oft gut nachvollziehbar. Die Mitarbeitenden stehen unter Zeit- und Erfolgsdruck, es gibt entweder keine von der Unternehmensleitung autorisierten KI-Anwendungen oder sie passen nicht zu den Bed\u00fcrfnissen der Mitarbeitenden und die Basis-Varianten vieler KI-Tools sind kostenlos im Internet nutzbar.<\/p>\n<p>F\u00fcr das Unternehmen k\u00f6nnen sich daraus allerdings Risiken ergeben: Sensible Unternehmensdaten werden ungewollt an Dritte weitergegeben. Dazu geh\u00f6ren Betriebs- und Gesch\u00e4ftsgeheimnisse, Know-how und vertrauliche Kundeninformationen. Sobald diese Daten das Unternehmen verlassen, ist der Kontrollverlust oft irreversibel.<\/p>\n<p>Enthalten die in das KI-System eingegebenen Datens\u00e4tze auch noch personenbezogene Daten, ergeben sich heraus besondere Pflichten des Unternehmens nach der DSGVO. Rechtsgrundlagen f\u00fcr die Verarbeitung m\u00fcssen definiert und Informationspflichten erf\u00fcllt werden. Wenn dem Unternehmen aber nicht bekannt ist, dass eine Verarbeitung personenbezogener Daten durch die eigenm\u00e4chtige Nutzung von KI-Tools erfolgt, k\u00f6nnen diese Pflichten nicht erf\u00fcllt werden. Kommt es aber zu Schadenersatzforderungen, z\u00e4hlt die Ausrede, man habe es nicht gewusst, grunds\u00e4tzlich nicht.<\/p>\n<p>Vom Schatten ins Licht: Um sich vor den negativen Folgen von Schatten-KI zu sch\u00fctzen, braucht es nicht nur Verbote, sondern vor allem klare Strukturen und sichere Alternativen.<\/p>\n<h3>Datenschutzrechtliche Grunds\u00e4tze bei KI-Einsatz<\/h3>\n<p>Bei jedem Teilprozess der KI-Anwendung ist kritisch zu pr\u00fcfen, ob personenbezogene Daten verarbeitet werden. Ist dies der Fall, sind die DSGVO-Grunds\u00e4tze zu beachten:<\/p>\n<ul>\n<li><b>Rechtm\u00e4\u00dfigkeit, Transparenz<\/b>: F\u00fcr jede Datenverarbeitung muss eine nachweisbare Rechtsgrundlage bestehen (Einwilligung, Vertrag oder berechtigtes Interesse). Die transparente Information \u00fcber die Datenverarbeitung \u2013 insbesondere bei automatisierten Entscheidungen \u2013 ist sicherzustellen.<\/li>\n<li><b>Zweckbindung:<\/b> Daten d\u00fcrfen nur f\u00fcr festgelegte, legitime Zwecke erhoben und verarbeitet werden. Eine unzul\u00e4ssige Weiterverarbeitung (z.B. Nutzung f\u00fcr KI-Training ohne Zustimmung) ist zu vermeiden.<\/li>\n<li><b>Datenminimierung:<\/b> Die Datenverarbeitung ist auf das notwendige Minimum zu reduzieren, entgegen dem nat\u00fcrlichen Datendurst von KI-Systemen.<\/li>\n<li><b>Richtigkeit:<\/b> Da KI auf Wahrscheinlichkeiten basiert, sind die Ergebnisse stets auf Korrektheit und Aktualit\u00e4t zu \u00fcberpr\u00fcfen.<\/li>\n<li><b>Speicherbegrenzung:<\/b> Daten sind nur so lange zu speichern, wie es der Zweck erfordert. Dauerhafte Speicherung zu Trainingszwecken bedarf einer rechtm\u00e4\u00dfigen Begr\u00fcndung.<\/li>\n<li><b>Integrit\u00e4t und Vertraulichkeit:<\/b> Durch technische und organisatorische Ma\u00dfnahmen ist die Datensicherheit zu gew\u00e4hrleisten; KI-Tools sind vorab auf ihre Sicherheitsgarantien zu pr\u00fcfen.<\/li>\n<li><b>Hambacher Erkl\u00e4rung<\/b>: Die Konferenz der unabh\u00e4ngigen Datenschutzaufsichtsbeh\u00f6rden des Bundes und der L\u00e4nder (DSK) hat daraus sieben Anforderungen an KI-Systeme formuliert, die Unternehmen bei der Einf\u00fchrung von KI-Systemen beachten sollten:<\/li>\n<\/ul>\n<p>Menschen nicht zum Objekt machen, verfassungsrechtlich legitimierte Zwecke, Transparenz und Erkl\u00e4rbarkeit, Diskriminierungsvermeidung, Datenminimierung, KI braucht Verantwortlichkeit, sowie technische und organisatorische Standards.<\/p>\n<h3>Unsere Empfehlungen<\/h3>\n<p>KI-Anwendungen im Unternehmen sind immer sehr individuell zu begutachten. Es kommt auf die beabsichtigte Datenverarbeitung, die Art der damit verarbeiteten Daten und das damit verbundene Risiko der betroffenen Personen an. Wir empfehlen allgemein folgende datenschutzfreundliche Ma\u00dfnahmen:<\/p>\n<ul>\n<li><b>Intern klare Regelungen schaffen<\/b><br \/>\nSchaffen Sie klare Regelungen f\u00fcr die Besch\u00e4ftigten im Umgang mit der eingesetzten Anwendung und stellen Sie sicher, dass alle Besch\u00e4ftigten \u00fcber diese Regelungen informiert sind.<\/li>\n<li><b>Besch\u00e4ftigte sensibilisieren<\/b><br \/>\nNehmen Sie den Umgang mit der KI-Anwendung in das Schulungsprogramm zum Datenschutz auf oder stellen Sie eigene KI-Schulungen zur Verf\u00fcgung.<\/li>\n<li><b>Unternehmens-Accounts einrichte<\/b>n<br \/>\nStellen Sie f\u00fcr die berufliche Nutzung von KI-Anwendungen Ger\u00e4te und Accounts zur Verf\u00fcgung! Besch\u00e4ftigte sollten nicht eigenst\u00e4ndig und unter Verwendung privater Accounts oder Ger\u00e4te mit KI-Anwendungen arbeiten.<\/li>\n<li><b>Keine Daten f\u00fcr das Training der KI bereitstellen<\/b><b><br \/>\n<\/b>Konfigurieren Sie die KI-Anwendung derart, dass diese keine Daten f\u00fcr Trainingszwecke nutzt. Ggf. muss daf\u00fcr ein spezifisches Vertragsmodell gebucht werden, das sich von der kostenfreien Standardanwendung unterscheidet.<\/li>\n<li><b>Ergebnisse auf Richtigkeit pr\u00fcfen<\/b><br \/>\nDie Ergebnisse einer KI-Anwendung sind kritisch auf Richtigkeit zu pr\u00fcfen. Die Anwendungen erzeugen Texte, die mit mathematischer Wahrscheinlichkeit dem gew\u00fcnschten Ergebnis nahekommen. Dies bedeutet keinesfalls, dass alle ausgegebenen Informationen korrekt sind.<\/li>\n<li><b>Keine automatisierte Letztentscheidung<\/b><b><br \/>\n<\/b>Entscheidungen mit Rechtswirkung d\u00fcrfen grunds\u00e4tzlich nur von Menschen getroffen werden. Ausnahmen sind nur in bestimmten F\u00e4llen zugelassen, etwa bei einer Einwilligung der betroffenen Person.<\/li>\n<li><b>Pr\u00fcfung und Dokumentation, ob DSFA durchgef\u00fchrt werden muss<\/b><br \/>\nJe nach Einsatzbereich und Umfang der Datenverarbeitung mittels KI-Anwendung ist im Vorfeld ggf. eine Datenschutz-Folgenabsch\u00e4tzung (DSFA) durchzuf\u00fchren, die die Teilprozesse herausarbeitet und das Risiko f\u00fcr die Rechte und Freiheiten der betroffenen Personen abw\u00e4gt. Ihr Datenschutzbeauftragter kann Sie bei der Pr\u00fcfung und der Durchf\u00fchrung der DSFA unterst\u00fctzen.<\/li>\n<li><b>Nachtraining, Filterverbesserung, Marketing etc. verhindern<\/b><br \/>\nStellen Sie sicher, dass m\u00f6gliche Anbieter von KI-Anwendungen sowohl die Eingabedaten als auch Ausgabedaten nicht f\u00fcr eigene Zwecke verwendet (z. B. Nachtraining, Filterverbesserung, Marketing, \u2026).<\/li>\n<li><b>Vertr\u00e4ge mit Anbietern der KI-Anwendung<\/b><br \/>\nPr\u00fcfen Sie kritisch die Leistungs- und m\u00f6gliche Auftragsverarbeitungsvertr\u00e4ge mit den Anbietern. Bei Verarbeitungen im Auftrag m\u00fcssen diese zwischen dem Unternehmen und dem Dienstleister wirksam abgeschlossen sein.<\/li>\n<\/ul>\n<h3>Unsere individuelle Unterst\u00fctzung f\u00fcr Sie<\/h3>\n<p>Sollten Sie den Einsatz von KI im Unternehmen planen oder bereits KI nutzen, nehmen Sie gerne Kontakt mit uns auf. F\u00fcr eine erste datenschutzrechtliche Bewertung k\u00f6nnen Sie zun\u00e4chst auch unseren <a href=\"https:\/\/app.lawlift.de\/Bgb7y\" target=\"_blank\" rel=\"noopener\"><b>Fragebogen<\/b><\/a> ausf\u00fcllen. Wir kommen dann nach der Auswertung wieder auf Sie zu.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>K\u00fcnstliche Intelligenz hat l\u00e4ngst Einzug in unseren Arbeitsalltag gehalten. Ob Texte formulieren, Analysen erstellen oder Kundenanfragen beantworten \u2013 KI-Tools versprechen enorme Effizienzgewinne. Werden mittels der KI-Anwendung auch personenbezogene Daten verarbeitet, ist neben der KI-Verordnung auch die DSGVO zu beachten. Schatten-KI in Unternehmen \u2013 ein untersch\u00e4tztes Risiko Schatten-KI bezeichnet den Umstand, dass Mitarbeitende des Unternehmens ohne [&hellip;]<\/p>\n","protected":false},"author":9,"featured_media":4322,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[29],"tags":[],"class_list":["post-4323","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-datenschutzberatung"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/posts\/4323","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/users\/9"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/comments?post=4323"}],"version-history":[{"count":1,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/posts\/4323\/revisions"}],"predecessor-version":[{"id":4324,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/posts\/4323\/revisions\/4324"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/media\/4322"}],"wp:attachment":[{"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/media?parent=4323"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/categories?post=4323"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/tags?post=4323"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}